Prpos fdral la protection des donnes et la transparence PFPDT

MESURES TECHNIQUES ET
ORGANISATIONNELLES GUIDE

Septembre 2011

Feldeggweg 1, 3003 Berne Tl. 031 323 74 84, Fax 031 325 99 96 www.edoeb.admin.ch

Table des matires

Introduction gnrale .......................................................................................................... 3 Dfinitions .......................................................................................................................... 3 Donnes personnelles .................................................................................................... 3 Protection des donnes .................................................................................................. 4 Fichier ............................................................................................................................ 4 Responsabilits ................................................................................................................. 5 Bases lgales .................................................................................................................... 5 Mesures techniques et organisationnelles ......................................................................... 5 Contenu du guide .............................................................................................................. 6 Thmatique A. laccs aux donnes .................................................................................. 8 A.1 Scurit des locaux .................................................................................................... 9 A.2 Scurit des salles de serveurs .................................................................................. 9 A.3 Scurit des places de travail .....................................................................................10 A.4 Identification et authentification...................................................................................11 A.5 Accs aux donnes ....................................................................................................12 A.6 Accs distance ........................................................................................................12 Thmatique B. Le cycle de vie des donnes ....................................................................14 B.1 Introduction des donnes ...........................................................................................15 B.2 Journalisation .............................................................................................................15 B.3 Pseudonymisation et anonymisation...........................................................................16 B.4 Chiffrement des donnes............................................................................................18 B.5 Scurit des supports .................................................................................................18 B.6 Sauvegarde des donnes ...........................................................................................19 B.7 Destruction des donnes ............................................................................................19 B.8 Sous-traitance (traitement par des tiers) .....................................................................20 B.9 Scurit et protection ..................................................................................................20 Thmatique C. Le transfert des donnes..........................................................................22 C.1 Scurit du rseau .....................................................................................................23 C.2 Chiffrement des messages .........................................................................................23 C.3 Signature des messages ............................................................................................25 C.4 Transmission des supports de donnes .....................................................................26 C.5 Journalisation des transferts .......................................................................................27 Thmatique D. Le droit daccs.........................................................................................28 D.1 Droit des personnes concernes ................................................................................28 D.2 Reproductibilit des procdures .................................................................................29 Outils existants...................................................................................................................30 La grille dvaluation .........................................................................................................30 Le rglement de traitement ...............................................................................................30 Contenu du rglement ...................................................................................................30 Considrations finales .......................................................................................................31

2/31

I NTRODUCTION

GNRALE

Ce guide est propos par le Prpos fdral la protection des donnes et la transparence. Il constitue une introduction aux risques lis la protection des donnes dans les systmes dinformation actuels. Il est conu comme une aide pour la mise en uvre de mesures adquates dans le but dassurer une protection optimale et approprie des donnes personnelles. Les thmes principaux de la protection des donnes sont prsents sous langle des mesures techniques et organisationnelles mettre en place, comme le chiffrement, lanonymisation, lauthentification, etc. Ce guide est avant tout destin aux personnes qui sont en charge des systmes dinformation, techniciens ou non, et qui sont confronts directement au problme de la gestion des donnes personnelles. Mais toute personne qui sintresse ces questions y trouvera des rponses. Le guide est organis autour de quatre thmatiques : laccs aux donnes, le cycle de vie des donnes, le transfert des donnes et le droit daccs aux donnes. Pour chaque thmatique, un certain nombre de points auxquels il faut veiller lors de la conception dun systme et de sa mise en uvre sont soulevs. Pour chaque point, des mesures sont proposes. Elles doivent tre comprises comme des lignes directrices gnrales et doivent tre ensuite adaptes aux spcificits de chaque projet et de chaque organisation.

Dfinitions
Les termes suivants sont dfinis de manire prcise afin dassurer une bonne comprhension du guide.

Donnes personnelles
Toutes les informations qui se rapportent une personne identifie ou identifiable sont des donnes personnelles. Les donnes sensibles sont des donnes personnelles qui se rapportent aux opinions ou activits religieuses, philosophiques, politiques ou syndicales, la sant, la sphre intime ou lappartenance une race, des mesures daide sociale, des poursuites ou des sanctions pnales et administratives. Si la rvlation de ces donnes peut entraner des risques lis la vie de la personne concerne, on parle de donnes dangereuses (vitales). Un profil de la personnalit est un assemblage de donnes qui permet dapprcier les caractristiques essentielles de la personnalit dune personne.

3/31

La personne concerne est la personne qui font rfrence des donnes personnelles. Quatre niveaux de scurit sappliquent aux donnes personnelles : 1. niveau minimal : des donnes personnelles dont labus ne semble pas, en rgle gnrale, avoir de consquence particulire pour la personne concerne. Il sagit par exemple du nom, du prnom, de ladresse et de la date de naissance, pour autant quils ne soient pas dans une relation sensible, ou alors dinformations qui apparaissent dans les mdias. 2. niveau moyen : des donnes personnelles dont labus peut affecter la situation conomique ou la place dans la socit de la personne concerne. Il sagit par exemple de donnes relatives la situation dun locataire ou aux relations professionnelles. 3. niveau lev : des donnes personnelles dont labus peut gravement affecter la situation conomique ou la place dans la socit de la personne concerne. Il sagit par exemple de donnes relatives la sant dun patient, de donnes sensibles ou de profils de la personnalit. 4. niveau trs lev : des donnes dont labus peut mettre en danger la vie de la personne concerne. Il sagit par exemple dadresses dhommes de liaison de la police, dadresses de tmoins dans certaines poursuites pnales ou dadresses de personnes qui sont menaces suite lexpression de leur opinion ou de leur appartenance religieuse ou politique.

Protection des donnes

La scurit des donnes regroupe toutes les mesures prises en vue dassurer lintgrit, la disponibilit des donnes et leur confidentialit. La protection des donnes regroupe toutes les mesures prises en vue dviter un traitement indsirable des donnes ainsi que les consquences indsirables dun traitement. La protection de linformation dfinit des niveaux de confidentialit pour les documents (interne, confidentiel, secret) dans la perspective de dfendre les intrts dun pays ou dune organisation.

Fichier
Le droit suisse emploie le terme de fichier pour dsigner une collection de donnes personnelles qui est organise de faon permettre une recherche par personne concerne parmi ces donnes.

4/31

Responsabilits
Les rles suivants sont importants dans une organisation qui traite des donnes personnelles : Le matre du fichier est la personne ou lorgane fdral qui dcide du but et du contenu des donnes utilises dans un systme dinformation. Le conseiller la protection des donnes est la personne en charge, au sein dune organisation, du conseil et du contrle des traitements sous langle de la protection des donnes. Le prpos fdral la protection des donnes et la transparence effectue des tches de surveillance et de conseil auprs des personnes prives et des organes fdraux. En outre, il tient et publie un registre des fichiers dclaration obligatoire. Le prpos cantonal effectue des tches similaires auprs des organes cantonaux et communaux.

Bases lgales
La loi fdrale sur la protection des donnes (LPD) en particulier lart. 7 et lordonnance relative la loi fdrale sur la protection des donnes (OLPD) en particulier les articles 8 11 et 20 21 sont les fondements de ce guide.

Mesures techniques et organisationnelles

Les mesures techniques et organisationnelles permettent de minimiser les risques lis un systme dinformation. Ainsi, un systme dinformation qui contient des donnes personnelles doit respecter certains critres pour assurer la scurit de ces donnes. La mise en uvre de telles mesures permet dagir dans ce sens. Une mesure technique est directement lie au systme dinformation lui-mme et le concerne directement. Une mesure organisationnelle se rapporte plus lentourage du systme, en particulier aux personnes qui lutilisent. Les deux types de mesures sont indispensables. Cest de manire combine quelles permettent dviter la destruction et la perte des donnes, ainsi que les erreurs, la falsification, les accs non autoriss, etc. Ces mesures sinscrivent dans le cycle de vie dun systme dinformation et sont appliques tous les niveaux du systme.

5/31

Le schma ci-dessous (schma 1, page 6) donne un aperu du cycle de vie dun systme dinformation. Il illustre comment les donnes sont introduites, traites, communiques, sauvegardes, etc. et indique galement quels niveaux des tiers peuvent intervenir, que ce soient des collaborateurs, des tiers traitants ou les personnes concernes par les donnes du systme.

Contenu du guide
Quatre thmatiques sont extraites du schma 1 et donnent les lignes directrices de ce guide. Nous traitons ainsi des mesures techniques et organisationnelles lies (1) laccs aux donnes, (2) le cycle de vie des donnes, (3) le transfert des donnes et (4) le droit daccs aux donnes. Pour chaque thmatique, diffrents aspects sont abords et les mesures associes sont prsentes. Pour chaque aspect, nous soulignons quelques bonnes pratiques qui sont autant de conseils pour le dveloppement dapplications respectueuses de la sphre prive. Il est vident que ces mesures doivent tre adaptes la sensibilit des donnes, la nature des traitements, ltendue de linformation utilise, etc. En conclusion, nous indiquons des outils existants qui permettent danticiper les risques lis la protection des donnes ou de dcrire formellement les mesures mises en place.

6/31

Schma 1. Vue densemble de lapplication des mesures techniques et organisationnelles. Chaque partie du schma est commente par thmatique dans les diffrents chapitres du guide.

7/31

T HMATIQUE A. L ACCS

AUX DONNES

La premire thmatique concerne laccs aux donnes par les diffrents utilisateurs du systme. Laccs aux donnes doit tre trait sous plusieurs angles. Ainsi, lemplacement physique des donnes doit tre prcisment tudi : o se trouvent les serveurs de donnes et comment assurer leur scurit en tenant compte de tous les acteurs impliqus ? Ensuite, il faut dterminer la manire dont ces donnes peuvent tre consultes, modifies, etc. Ceci implique plusieurs niveaux de scurit : les ordinateurs quutilisent les collaborateurs doivent tre accessibles aux seules personnes qui lon dcide daccorder un accs et protgs contre les tentatives dintrusion extrieure. Ces tentatives peuvent tre locales une personne non autorise pntre dans les locaux ou distantes une personne non autorise accde au systme travers le rseau. Finalement, il faut dcider de la trace que lon souhaite conserver des accs physiques et lectroniques.

Schma A. Laccs aux donnes Le schma A voque les questions suivantes qui sont traites en dtails et accompagnes de mesures concrtes. A.1 Comment assurer la scurit des locaux ? A.2 Comment assurer la scurit des serveurs ? A.3 Comment assurer la scurit des places de travail ? A.4 Comment assurer lidentification et lauthentification des utilisateurs ? A.5 Comment scuriser laccs aux donnes des utilisateurs ? A.6 Comment grer les accs distance ?

8/31

A.1 Scurit des locaux

Les locaux sont dfinis comme les lieux o les utilisateurs du systme travaillent et, par consquent, ont accs aux donnes. Les donnes sont physiquement stockes dans les salles de serveurs (cf. section A.2 Scurit des salles de serveurs) et les ordinateurs personnels sont des priphriques qui permettent daccder ces donnes. Laccs ces machines, en tant quinterfaces vers les donnes, doit tre contrl. Seules les personnes autorises doivent accder aux btiments et aux bureaux. Les fonctions de ces personnes peuvent tre varies et il faut toutes les prendre en compte pour dfinir des droits daccs spcifiques : les collaborateurs de lorganisation en font partie, videmment, mais galement le personnel de maintenance, de nettoyage, etc. Il faut tenir compte du contexte global pour prendre les mesures adquates. Si plusieurs organisations partagent un mme btiment, elles nont pas les mmes besoins en matire de protection des donnes. Alors la scurit doit tre adapte, par tage par exemple. De plus, les serveurs de donnes peuvent tre externaliss et leur scurit par consquent confie des tiers. Mesures envisager Laccs au(x) btiment(s) est rglement. Un badge, ventuellement associ un code daccs, permet lauthentification des personnes qui souhaitent entrer dans le btiment. Si plusieurs organisations partagent le mme btiment, il faut, si ncessaire, galement rglement laccs aux locaux de lorganisation dune manire similaire : un systme daccs lectronique est install ltage ou dans la section rserve lorganisation. Une rglementation particulire ainsi quune procdure daccueil pour les visiteurs est tablie afin dviter quils se dplacent seuls et librement dans le btiment. Les bureaux sont verrouills en dehors des heures de prsence. Des alarmes sont ventuellement places dans les locaux les plus sensibles et sont actives en dehors des heures de prsence.

A.2 Scurit des salles de serveurs

Les salles de serveurs sont les lieux les plus sensibles dune organisation puisque les donnes sont physiquement stockes sur ces machines. Lintgrit et la disponibilit des donnes sont garanties si la perte dfinitive des donnes est impossible grce la mise en place de mesures appropries. Il est important de dterminer l aussi qui est autoris accder ces salles. Avec un nombre restreint dautorisations accordes, la scurit est
9/31

amliore. Il faut viter de mauvaises manipulations sur les serveurs, intentionnelles ou non, qui mnent une destruction ou une modification des donnes. Ainsi, des mesures particulires doivent tre prises pour scuriser les salles de serveurs. Mesures envisager Un nombre restreint de personnes est autoris pntrer dans les salles de serveurs. Autoriser laccs toutes les personnes qui partagent une fonction identique est trop laxiste. Laccs des fins de maintenance des systmes est autoris un nombre restreint de techniciens. De mme, il est judicieux de toujours confier le nettoyage des salles aux mmes employs. Les accs aux salles de serveurs sont journaliss. Une alarme est installe et fonctionne en continu pour viter toute intrusion frauduleuse. Idalement, la salle de serveurs se trouve au sous-sol afin de minimiser le nombre daccs physiques (portes, fentres, etc.) Les incidents naturels, tels que les incendies ou les inondations, sont dtectables de manire automatique et signals par des alarmes.

A.3 Scurit des places de travail

Les collaborateurs accdent et traitent les donnes depuis leur place de travail. Lordinateur personnel du collaborateur y est install. Lenvironnement de travail doit tre scuris par une disposition stratgique des diffrents priphriques. Un nombre suffisant de rangements qui peuvent tre ferms cl doit tre mis disposition du collaborateur. Lordinateur personnel doit tre protg par un mot de passe connu du collaborateur seul. Il doit galement tre protg par les logiciels ncessaires pour viter les intrusions. La protection doit couvrir tous les types de virus, de logiciels malveillants (malwares) et dattaques au sens large. Mesures envisager Les places de travail sont amnages de telle sorte que les crans dordinateurs ne sont pas visibles depuis la porte. Les visiteurs, extrieurs lorganisation, ne peuvent ainsi pas observer le travail des collaborateurs. Les documents imprims ne restent pas sans surveillance autour de limprimante. Par exemple, le collaborateur introduit un code dans limprimante pour librer limpression de ses documents.

10/31

Le collaborateur dpose ses documents imprims et tout le matriel sensible (cls USB, CD-ROM, etc.) dans des rangements quil peut fermer cl. Les ordinateurs portables, ventuellement les ordinateurs fixes galement, sont enchans au bureau afin dviter les vols lintrieur des locaux. Un logiciel antivirus est disponible et activ sur toutes les machines. Il est mis jour rgulirement.

A.4 Identification et authentification

Lidentification permet de connatre lidentit dun individu, de le distinguer parmi dautres. Lauthentification permet de vrifier quun individu est bien celui quil prtend tre. Lauthentification se fait laide de preuves que lindividu prsente au systme. Ces preuves sont de trois types. Il peut sagir dun objet que lindividu possde (un badge par exemple) ou dune information que lindividu connat (un mot de passe par exemple) ou alors dune proprit qui caractrise lindividu (une proprit comportementale, telle que la signature, ou une proprit morphologique telle quune empreinte digitale). On parle dauthentification forte quand au moins deux modalits sont combines (badge et mot de passe par exemple). Ainsi, lauthentification est utilise pour permettre aux utilisateurs de pntrer dans les locaux et daccder aux donnes en se connectant leur ordinateur. Lidentification permet de reconnatre lindividu qui a introduit, modifi ou dtruit des donnes dans le systme un moment donn. Lauthentification unique (SSO, Single Sign-On) est une mthode qui permet lutilisateur daccder plusieurs applications en ne procdant qu une seule authentification. Mesures envisager Les comptes utilisateurs qui permettent lauthentification sont uniques. Les collaborateurs ne partagent pas de compte. Un compte comprend un identifiant (nom dutilisateur) associ un mot de passe, ou un badge, etc. Idalement, chaque individu possde des comptes diffrents pour sauthentifier sur sa machine de travail puis sur les diffrentes applications quil utilise. Ainsi, si une personne mal intentionne accde la machine, elle nest pas encore en mesure daccder aux donnes par le biais des applications installes. Si une authentification unique est utilise (SSO), les mesures de scurit sont adaptes puisque, grce ce mcanisme, laccs la machine autorise galement laccs aux applications.

11/31

Le mot de passe doit tre fort et chang rgulirement. Un mot de passe fort contient au minimum 8 caractres dont des lettres (majuscules et minuscules), des chiffres et des caractres spciaux ! La frquence de changement du mot de passe est inversement proportionnelle la complexit exige pour celui-ci. Lauthentification laide de donnes biomtriques doit tre ralise dans le respect des mesures prsentes dans le Guide relatif aux systmes de reconnaissance biomtrique 1.

A.5 Accs aux donnes

Toutes les donnes sont stockes sur les serveurs centraux. La plupart des collaborateurs nont pas la ncessit davoir accs lensemble des donnes. En restreignant laccs aux seules donnes utiles chaque collaborateur, les risques dune mauvaise utilisation des donnes volontaire ou non sont diminus. Les abus peuvent galement tre prvenus. Des rgles daccs et un mcanisme dautorisation doivent donc tre dfinis par rapport aux fonctions de chaque collaborateur. Mesures envisager Le systme dinformation est organis de telle manire que des accs diffrencis puissent tre accords aux utilisateurs. Lorganisation interne dfinit les droits daccs de chaque collaborateur en laborant une matrice des droits daccs. Le collaborateur sauthentifie la mise en marche du systme. Plus la sensibilit des donnes quil traite est grande, plus lauthentification est forte. Une journalisation est effectue sur les accs au systme suivant les conditions abordes la section B2 Journalisation.

A.6 Accs distance

Les accs distance peuvent tre de plusieurs types et des mesures de protection doivent tre envisages pour chaque situation distincte. Un accs aux donnes peut tre demand par un collaborateur qui souhaite travailler depuis lextrieur et souhaite un accs distant son ordinateur du bureau. Suivant la politique de
1

www.leprepose.ch > Thmes > Protection des donnes > Biomtrie

12/31

lorganisation et la sensibilit des donnes, ce type daccs doit tre rglement. Une mthode sre dauthentification doit tre mise en place. Laccs aux donnes peut aussi tre demand par un tiers autoris, comme un sous-traitant, par exemple. Le cas doit tre clairement rgl et une authentification forte doit tre requise. Finalement, avant toutes choses, ce sont les accs frauduleux qui doivent tre absolument vits. La section C.1 Scurit du rseau apporte des complments en matire de scurit des communications entre un tiers distant et lorganisation. Mesures envisager Un accs scuris est propos aux personnes qui souhaitent ou doivent se connecter distance. La mthode dauthentification choisie est forte et donc compose de deux modalits au moins. Les ordinateurs personnels sont protgs par un pare-feu (firewall). Sous les conditions abordes la section B2 Journalisation, les accs peuvent tre journaliss.

13/31

T HMATIQUE B. L E

CYCLE DE VIE DES DONNES

Avec la mise en uvre des mesures prcdentes, laccs aux donnes peut tre considr comme sr, tant du point de vue physique (accs aux serveurs centraux) que du point de vue du traitement (accs aux ordinateurs personnels). La phase suivante consiste assurer la scurit des donnes durant leur cycle de vie. Elles doivent rester intgres et fiables durant lentier de ce cycle, cest--dire depuis leur introduction dans le systme jusqu leur destruction, leur anonymisation ou leur archivage, en incluant videmment toutes les phases de traitement quelles vont subir. Les traitements peuvent tre effectus au sein de lorganisation par les collaborateurs autoriss. Toutefois, ils peuvent galement tre sous-traits dans des organisations tierces. De plus, dans le cadre des traitements, les donnes sont rgulirement transfres sur des supports mobiles, tels que des cls USB, des disques durs externes, etc. Finalement, garder une trace des diffrents traitements permet, en cas de problmes, de mieux comprendre do ils proviennent. Tous ces aspects et situations doivent tre tudis afin dviter des abus.

Schma B. Le cycle de vie des donnes Pour cette thmatique, nous abordons les questions suivantes illustres dans le schma B :
14/31

B.1 Comment grer lintroduction des donnes dans le systme ? B.2 Comment surveiller les traitements sur les donnes (journalisation) ? B.3 Comment pseudonymiser et/ou anonymiser les donnes ? B.4 Comment chiffrer les donnes ? B.5 Comment assurer la scurit des diffrents supports de donnes ? B.6 Comment assurer la sauvegarde les donnes ? B.7 Comment dtruire de manire dfinitive les donnes ? B.8 Comment grer la sous-traitance de projets ? B.9 Comment grer la scurit de linformation et la protection des donnes ?

B.1 Introduction des donnes

Lintroduction de donnes dans le systme est une tape dlicate puisquil sagit dviter tout prix dintroduire dans le systme des donnes incompltes ou errones. Une fois les donnes dans le systme, les traitements qui seront effectues sur cette base pourraient conduire des rsultats fallacieux et des dcisions non appropries. Il est important de dvelopper des mcanismes daide pour minimiser les risques derreur lors de la saisie des donnes par les collaborateurs. De plus, il faut distinguer lintroduction de donnes dans un systme en phase de test et lintroduction des donnes relles. Mesures envisager Les donnes sont introduites uniquement par du personnel form et autoris. Des mcanismes daide sont mis en place dans le systme. Le systme repre les informations manquantes et effectue ventuellement des tests de vraisemblance sur les saisies. Les donnes utilises pour les tests sont soit des donnes fictives, soit des donnes anonymises. Selon les rgles introduites dans la section B2 Journalisation, il est possible de journaliser lintroduction des donnes.

B.2 Journalisation
Il est parfois utile de garder une trace de tous les traitements effectus sur les donnes. Il peut sagir de lintroduction de nouvelles donnes, de modifications de donnes existantes ou de la destruction de donnes. En conservant une trace de ces diffrentes actions, il est possible, en cas de problmes, de remonter la source dun incident, dun accs frauduleux ou dun traitement non autoris sur les donnes. Les actions peuvent tre journalises : un enregistrement squentiel de tous les vnements qui sont lis au systme dinformations est effectu et ces fichiers de logs (ou journaux) sont conservs pour un intervalle de temps proportionnel la sensibilit des donnes et des traitements.
15/31

Les accs aux donnes, lintroduction de nouvelles donnes, la modification, la destruction, etc. peuvent tre journaliss. Toutefois, la journalisation nest obligatoire que dans le cas o les donnes traites sont des donnes sensibles et que les mesures prventives mises en place ne sont pas suffisantes pour assurer la scurit des donnes. Dans les autres cas, un mcanisme de journalisation peut tre intgr au systme. La ncessit de cette journalisation doit tre claire et associe des buts prcis. De plus, la journalisation doit tre proportionnelle en termes de quantit dinformations journalises et de dure de conservation des fichiers de logs. Mesures envisager Une argumentation prcise soutient la mise en place dun mcanisme de journalisation. Le contenu des fichiers de logs et la dure de conservation de ces fichiers sont proportionnels aux donnes et aux traitements effectus. Les collaborateurs sont informs quune trace des actions quils effectuent sur les donnes est conserve. Les fichiers issus de la journalisation (journaux) sont scuriss. Les droits daccs sur les journaux sont clairement dfinis et limits certaines fonctions au sein de lorganisation. Le mcanisme est protg contre des ventuelles attaques ou des accs frauduleux qui auraient pour but de modifier le contenu des journaux.

B.3 Pseudonymisation et anonymisation

Pour viter que les personnes dont les donnes personnelles sont traites dans le systme puissent tre identifies, il est ncessaire de pseudonymiser ou danonymiser les donnes. La pseudonymisation consiste remplacer lensemble des donnes identifiantes par un identifiant neutre (pseudonyme), tandis que lanonymisation consiste supprimer dfinitivement toutes les donnes identifiantes ou tout moyen de retrouver les donnes originales. La pseudonymisation est rversible tandis que lanonymisation est dfinitive. De plus, des donnes parfaitement anonymises ne sont plus considres comme des donnes personnelles. Les donnes identifiantes permettent didentifier la personne sans difficult. Ensuite une table de correspondance est utilise pour faire le lien entre le pseudonyme et les donnes identifiantes dune personne. Tant que la table de correspondance existe et est accessible, la pseudonymisation est une opration rversible. La dernire tape consiste dtruire de manire dfinitive toutes les donnes identifiantes (par exemple, il est possible de dtruire la
16/31

table de correspondance). La personne nest plus identifiable daucune manire et lopration est irrversible. Le schma suivant donne un aperu de ce processus :

Mesures envisager Il faut privilgier lutilisation de donnes anonymises dans les limites des possibilits du projet. Si les donnes sont anonymises, alors la loi sur la protection des donnes ne sapplique plus et la plupart des mesures prsentes dans ce guide nont plus tre appliques. En cas de pseudonymisation ou danonymisation, aucune information identifiante indirecte nest conserve. On obtient une information identifiante indirecte lorsque la mise en relation de certaines informations qui, prises sparment, ne sont pas significatives permet didentifier une personne. Si lanonymisation nest pas envisageable, les collaborateurs travaillent si possible sur des donnes pseudonymises. La table de correspondance doit tre scurise. Ainsi, elle ne doit tre accessible qu un nombre restreint de collaborateurs et si possible tre chiffre. Si la pseudonymisation nest pas envisageable, alors les collaborateurs travaillent sur des donnes nominatives. Si ces donnes sont sensibles, elles doivent tre mmorises sous forme chiffre (cf. section B.4 Chiffrement des donnes).

17/31

B.4 Chiffrement des donnes

Les donnes sont habituellement mmorises sur un disque dur sous forme de fichiers ou dans une base de donnes. Une mthode pour protger les donnes personnelles et viter quelles ne soient lues et modifies de manire abusive consiste chiffrer ces donnes. laide dune cl, les donnes sont transformes en un code non comprhensible. Ainsi, le chiffrement rend les donnes inintelligibles pour celui qui ne possde ou ne connat pas la cl. Dans la thmatique suivante (C. La transmission des donnes), nous abordons le problmatique du transfert de donnes dont les risques peuvent tre rduits grce un chiffrement adapt. Mesures envisager Lalgorithme de chiffrement et plus particulirement la longueur de la cl sont proportionnels la sensibilit des donnes. Sur un mme support de donnes, diffrents groupes de donnes peuvent tre chiffrs avec des cls propres. Les cls de chiffrement sont scurises. Laccs aux cls est limit un nombre restreint de collaborateurs.

B.5 Scurit des supports

Les donnes ne sont pas seulement mmorises sur les serveurs centraux et les ordinateurs personnels. De nombreux supports externes permettent de transfrer de linformation entre collaborateurs ou vers lextrieur sans avoir passer par le rseau. Des sauvegardes temporaires et limites sont galement possibles sur ces supports. Parmi les supports externes, les cls USB, les disques durs externes, les CD-ROM, etc. ont des fonctions diverses puisquils nont pas tous les mmes proprits. Certains sont rinscriptibles, comme les cls USB, dautres ne le sont pas, comme les CD-ROM. Il est possible de stocker une quantit de donnes toujours plus importante sur un support visiblement toujours plus petit. Il faut garder cela lesprit pour viter de minimiser les risques lis ces supports. Mesures envisager Les collaborateurs sont forms aux dangers dintroduire un support inconnu (cl USB) dans son ordinateur. Les supports externes contenant des donnes personnelles sensibles ou des profils de personnalit sont chiffrs.
18/31

Les supports externes doivent tre mis sous cl. Une procdure de destruction des supports est mise en place et les outils ncessaires cette destruction sont disponibles.

B.6 Sauvegarde des donnes

Il est essentiel dassurer lintgrit et la disponibilit des donnes contenues dans le systme. Il faut donc dfinir une procdure pour la sauvegarde des donnes. Ainsi, si les donnes sont dtruites la suite dune mauvaise utilisation ou dun traitement frauduleux ou si elles sont corrompues, il doit tre possible de les rcuprer dans ltat le plus rcent possible. Les intervalles de sauvegarde doivent tre proportionnels la quantit de traitements effectus journellement sur les donnes. Mesures envisager Une stratgie de sauvegarde est dfinie de manire approprie en fonction des donnes elles-mmes, de leur quantit et de leur frquence de modification. La stratgie de sauvegarde est communique aux collaborateurs. Les serveurs de sauvegarde doivent tre soumis aux mmes mesures de scurit que les serveurs centraux. La rcupration des donnes est effectue par du personnel form cette tche.

B.7 Destruction des donnes

Les donnes personnelles nont pas pour vocation dtre conserves sans aucune limite de temps. Leur dure de conservation doit tre dfinie et des mcanismes pour la destruction dfinitive de ces donnes doivent tre tablis. Ainsi, il ne suffit pas deffacer simplement ses donnes dun disque dur pour considrer quelles sont dtruites. Il faut vritablement assurer quelles ne seront plus jamais accessibles. Il en va de mme pour les donnes qui sont contenues sur papier ou sur des supports mobiles. Les copies de sauvegardes doivent galement tre dtruites.

19/31

Mesures envisager Les donnes papier sont dtruites par une dchiqueteuse de papier. Les CD-ROM et autres supports mobiles sont galement dtruits physiquement. Les donnes sont effaces laide de programmes spciaux qui garantissent un effacement physique et dfinitif des donnes.

B.8 Sous-traitance (traitement par des tiers)

Il arrive rgulirement quune organisation sous-traite une partie de ses projets. Il peut sagir du dveloppement du projet, de la maintenance dun systme, de la sauvegarde des donnes, etc., qui sont confis des entreprises tierces. Lorganisation qui fournit le mandat doit sassurer que des rgles quivalentes aux siennes en matire de protection des donnes sont appliques par le sous-traitant. En tant que mandataire, lorganisation est responsable de ses donnes. Mesures envisager Le contrat avec le sous-traitant respecte les rgles de lorganisation en charge du projet. Lorganisation sassure rgulirement que les conditions de protection des donnes sont respectes. La transmission des donnes entre le sous-traitant et lorganisation est rglemente.

B.9 Scurit et protection

Pour scuriser les donnes de manire optimale, il faut mettre en relation le type de donnes (personnelles, sensibles et dangereuses selon les dfinitions du chapitre introductif) li au niveau de scurit (minimal, moyen, lev, trs lev) et la classification du document (interne, confidentiel, secret). Il est possible dtablir la matrice suivante afin de dfinir des niveaux de protection proportionnels aux deux classifications des donnes. La mesure la moins contraignante sapplique tous les niveaux suprieurs.

20/31

Donnes non personnelles

Donnes personnelles minimal/moyen

Protger laccs au document

Donnes sensibles lev

Protger + Chiffrer le document Protger Chiffrer + Journaliser le traitement Protger Chiffrer Journaliser Protger Chiffrer Journaliser Numroter

Donnes dangereuses trs lev

Protger, Chiffrer + Journaliser le traitement + Numroter le document (*) Protger Chiffrer Journaliser Numroter Protger Chiffrer Journaliser Numroter Protger Chiffrer Journaliser Numroter

Information sans risques Information interne Information confidentielle Information secrte

Protger laccs au document Protger + Chiffrer le document Protger, chiffrer + Numroter le document (*)

Protger

Protger Chiffrer Protger Chiffrer Numroter

(*) La numrotation des documents est une mesure en relation avec la protection de linformation.

Mesures Le systme est labor en fonction des critres de la matrice ci-dessus. En fonction de la matrice ci-dessus, les mesures adquates sont mises en place.

21/31

T HMATIQUE C. L E

TRANSFERT DES DONNES

Les moyens de communications actuels permettent de travailler distance, dchanger de linformation facilement et rapidement. Ainsi, les donnes ne restent plus simplement lintrieur de lorganisation mais sont souvent transmises lextrieur. Des contacts avec des tiers sont rguliers. La protection des donnes, durant leur transfert, doit galement tre garantie.

Schma C. Le transfert des donnes

Sur la base du schma C, nous abordons les questions suivantes : C.1 Comment assurer la scurit ? C.2 Comment chiffrer un message que lon envoie avec un tiers distant ? C.3 Comment signer un message que lon envoie un tiers distant ? C.4 Comment transmettre les supports mobiles de manire scurise ? C.5 Comment garder trace des diffrentes communications ?

22/31

C.1 Scurit du rseau

Les communications au rseau interne dune organisation sont nombreuses. Il peut sagir de collaborateurs qui travaillent distance et souhaitent se connecter au rseau interne ou de tiers qui accdent aux donnes par ce biais. La scurit du rseau et des communications doit tre garantie. Les accs se font gnralement via Internet. Il est donc indispensable dutiliser des protocoles de communication scuriss. Le protocole TLS (Transport Layer Security), successeur de SSL (Secure Sockets Layer), permet dtablir un canal de communication chiffr scuris entre un client et un serveur. Les algorithmes et les cls cryptographiques sont ngocis entre le client et le serveur. TLS permet galement aux deux parties de sauthentifier laide de certificats. Ce protocole est une sous-couche des protocoles de communications usuels (http, ftp, etc.). Il est transparent pour lutilisateur et son utilisation peut tre remarqu par lapparition dun cadenas ferm dans la fentre de la plupart des navigateurs. De plus, la mise en place de connexions VPN (Virtual Private Network rseau priv virtuel) permet de scuriser laccs au rseau interne. Il permet dencapsuler les donnes chiffres transmettre. Un rseau VPN est bas sur des protocoles cryptographiques forts, tels que TLS, IPSec ou SSTP. Mesures envisager Les communications via Internet du rseau interne vers lextrieur doivent tre limites au strict ncessaire. Il faut tudier si la mise en place dun protocole de communication scuris (TLS) est ncessaire au vu des traitements effectuer sur les donnes et le cas chant, le mettre en place. Il faut mettre en place un VPN si des collaborateurs ou des tiers sont amens se connecter distance au rseau local de lorganisation.

C.2 Chiffrement des messages

Paralllement au chiffrement des disques durs et des fichiers pour empcher les accs indsirables aux donnes, il est ncessaire de chiffrer les messages afin dviter quune tierce partie qui coute la communication soit en mesure de lire, de modifier ou de supprimer le message. Il existe deux mthodes pour le chiffrement de message, il sagit du chiffrement symtrique et du chiffrement asymtrique.

23/31

Le chiffrement symtrique fonctionne selon le schma ci-dessous : 1. 2. 3. 4. 5. Alice rdige un message pour Bob. Alice chiffre son message au moyen dune cl. Alice transmet le message chiffr Bob. Alice transmet la cl Bob de manire scurise. Bob utilise cette cl pour dchiffrer le message.

Le chiffrement symtrique est plus simple mettre en uvre car il ne comprend quune seule cl. Toutefois, la transmission de cette cl doit tre effectue de manire sre. Le chiffrement asymtrique est plus complexe mais il vite les problmes lis la transmission de la cl. Ce nest pas une cl qui est utilis mais deux. Chaque utilisateur gnre une paire de cls : lune est publique et rendue disponible tous, la seconde est prive et connue de lutilisateur seulement. La cl publique est utilise pour chiffrer le message et la cl prive pour le dchiffrer. Cette technique permet galement de signer les messages (cf. section C.3 Signature des messages). Le droulement illustr ci-dessous est le suivant : 1. Alice prpare un message pour Bob. 2. Alice utilise la cl publique de Bob pour chiffrer le message elle sassure ainsi que seul Bob en utilisant sa cl prive pourra le lire. 3. Alice envoie le message Bob. 4. Bob utilise sa cl prive pour dchiffrer le message.

24/31

Mesures envisager Il faut dterminer quel type de chiffrement est le plus adquat, suivant la sensibilit des donnes et les tiers avec qui lorganisation traite. Si le chiffrement symtrique est utilis, il faut dfinir un protocole sr pour la transmission de la cl (lemail, par exemple, nest pas sr). Si on choisit le chiffrement asymtrique, il faut mettre en place un mcanisme le chiffrement des messages. Il convient de le coupler avec la signature des messages (cf. section C.3 Signature des messages).

C.3 Signature des messages

En chiffrant un message (cf. section C.2 Chiffrement des messages), il est possible de sassurer que seule la personne en possession de la cl ncessaire au dchiffrement sera mme de lire le message. Il peut galement tre ncessaire que le destinataire du message soit en mesure de sassurer que lexpditeur est bien celui quil prtend tre. En signant le message, lexpditeur peut transmettre cette information de manire sre. Cette action est habituellement effectue pralablement au chiffrement du message selon le protocole suivant : 1. Alice rdige un message. 2. Alice extrait une empreinte de ce message. Cette empreinte sert de signature au message. 3. Alice signe cette empreinte avec sa cl prive.
25/31

4. 5. 6. 7.

Elle chiffre ensuite le message selon la procdure dcrite plus haut. Alice transmet lempreinte et le message Bob. Bob dchiffre le message. Il vrifie ensuite lempreinte avec la cl publique dAlice et sassure ainsi quelle est bien lexpditrice du message.

Mesures envisager Les collaborateurs sont sensibiliss aux situations dans lesquelles une communication doit tre signe et chiffre. Les collaborateurs connaissent la manire de chiffrer et de signer les messages.

C.4 Transmission des supports de donnes

La transmission des supports de donnes mobiles est un problme dlicat puisque cela implique quune partie des donnes sort de manire physique de lorganisation et est transport vers un autre lieu. Il est essentiel que ces supports soient protgs durant leur transport afin dviter quen cas de perte ou plus grave de vol, les donnes deviennent accessibles. Plus les donnes contenues sur les supports mobiles sont sensibles, plus la transmission doit tre scurise.

26/31

Mesures envisager Les destinataires qui sont remis les supports peuvent tre authentifis de manire sre. La mise sous pli des supports avant la transmission est effectue de manire scurise. Si ncessaire, les supports mobiles sont chiffrs. Un protocole de transport est dfini. Par exemple, les supports peuvent tre transports dans des valises fermes cl. Le principe des quatre yeux permet dassurer que la remise et la rception des donnes est effectue correctement. Par exemple, la personne qui remet les donnes et celle qui les reoit combinent leur mots de passe respectifs pour accder aux donnes.

C.5 Journalisation des transferts

Lenvoi de donnes via le rseau Internet et la transmission de supports mobiles peuvent tre protocols et enregistrs dans un journal. Ce mcanisme de journalisation permet de tracer les expditeurs et les destinataires des donnes et la manire dont les supports ont t transmis. Dans des cas dabus, de mauvaise utilisation ou daction malencontreuse, une certaine quantit dinformations peut ainsi tre retrouve et permet de retracer le trajet des donnes depuis lexpditeur jusquau moment o le problme est survenu. Les exigences introduites la section B.2 Journalisation sappliquent galement pour les journalisations de transfert. Mesures envisager Il faut dfinir une journalisation trs prcise qui recense les expditeurs, les destinataires, le trajet effectu et tous les points intressants du trajet. Il est prfrable de confier toujours les transferts de supports aux mmes collaborateurs. Il est ncessaire dappliquer le principe de proportionnalit la journalisation des transferts suivant leur ampleur, la dure, etc.

27/31

T HMATIQUE D. L E

DROIT D ACCS

Les personnes concernes sont les personnes dont les donnes personnelles sont prsentes dans les systmes. Chacun a le droit de savoir si des donnes personnelles le concernant existent. Si de telles donnes sont prsentes, la personne concerne peut demander leur destruction ou leur rectification si ces donnes savrent errones.

Schma D. Le droit daccs

Dans cette thmatique, nous dveloppons les points suivants : D.1 Comment assurer que les personnes concernes puissent faire valoir leur droit ? D.2 Comment assurer la reproductibilit des procdures dexcution du droit daccs ?

D.1 Droit des personnes concernes

Les personnes concernes ont le droit daccder leurs donnes et den demander la rectification, le blocage ou la destruction. Lorganisation doit tre en mesure de recevoir et de traiter de manire approprie ces demandes. Les diffrentes oprations demandes par les personnes concernes doivent ensuite tre rpercutes dans le systme. Le mcanisme de recherche des donnes personnelles doit tre efficace. Les oprations doivent galement pouvoir tre effectue avec succs. Ainsi, par exemple, si une personne demande la destruction de ses donnes, le systme doit garantir que la totalit des donnes sont effaces par lopration. Mesures envisager Une information claire pour les personnes est disponible. Elle permet chacun de connatre ses droits. Une procdure pour les demandes daccs est mise en place et connue des collaborateurs. Le systme est quip dun mcanisme de recherche fiable.
28/31

Les procdures de modification, de rectification, de blocage et de destruction sont documentes et fiables. Tous les traitements sont journalises.

D.2 Reproductibilit des procdures

La procdure qui permet dexcuter le droit daccs des personnes concernes doit tre clairement dfinie et reproductible. Si le mcanisme est prprogramm dans le systme qui permet de traiter les donnes, tous les collaborateurs auront la possibilit deffectuer les rectifications, verrouillages ou destructions de donnes demandes par les personnes concernes. Un mcanisme prprogramm est galement bnfique lors dun contrle effectu par une autorit de surveillance puisquil dmontre que le droit daccs est applicable. Mesures envisager La procdure dexcution du droit daccs est prprogramme dans le systme. Tous les collaborateurs utilisent la mme procdure. Lautorit de surveillance peut effectuer son travail si ncessaire en testant la procdure intgre au systme.

29/31

O UTILS

EXISTANTS

Certains outils existent pour optimiser la mise en uvre des mesures techniques et organisationnelles.

La grille dvaluation
Le Prpos fdral la protection des donnes et la transparence met disposition une grille dvaluation qui permet danticiper les risques en ciblant trs tt dans le dveloppement dun nouveau projet les points problmatiques en matire de protection des donnes. La grille est disponible sur le site internet (Protection des donnes - Commerce et conomie - Entreprises) du PFPDT.

Le rglement de traitement
Le rglement de traitement est un outil prvu par le droit suisse qui aide la dfinition de mesures techniques et organisationnelles appropries. Le but dun tel rglement est dassurer une transparence ncessaire lors de llaboration et la gestion dune collection de donnes personnelles (fichier). Il permet de runir les diffrentes documentations qui ont t prpares par les diffrentes units en charge du projet et de centraliser ainsi les informations. Les responsables de la protection des donnes et les exploitants du systme peuvent bnficier dune documentation complte qui leur permet de reprer les bonnes pratiques et de les appliquer. Le rglement de traitement doit tre labor par le matre du fichier.

Contenu du rglement
Si le matre du fichier est une personne prive, le rglement de traitement doit contenir dune part la description de lorganisation interne et celle des procdures de traitements et de contrle des donnes, et dautre part, toute la documentation relative la planification, llaboration et la gestion des moyens informatiques, tant les logiciels que le matriel. Si le matre du fichier est un organe fdral, le rglement de traitement est requis seulement dans les cas o (1) le fichier contient des donnes sensibles ou des profils de la personnalit, (2) le fichier est utilis par plusieurs organes fdraux, (3) le fichier est accessibles des tiers, tels que les cantons, les autorits trangres, des organisations internationales ou des personnes prives, et (4) le fichier est interconnect avec dautres fichiers. Le contenu du rglement de traitement pour les organes fdraux est dfini de manire trs prcise.
30/31

1. Lorganisation interne les oprations effectues par le systme et lorganisation structurelle doit tre documente avec la mention des diffrentes responsabilits (protection des donnes, matre du fichier, etc.). 2. Les documents relatifs la planification, llaboration et la gestion des moyens informatiques doivent tre conus de manire transparente. 3. Un rcapitulatif des mesures techniques et organisationnelles permet de dterminer quelles sont les mesures dj en place. 4. Lorigine des donnes et les buts des traitements doivent tre dcrits. 5. Lobligation de dclarer est dcrite par les indications ncessaires. 6. Lensemble des champs de donnes est dfini. Une matrice daccs indique quelles units organisationnelles et quelles personnes ont accs aux donnes. 7. Les mesures pour lapplication du droit daccs sont dcrites. 8. La configuration des moyens informatiques mentionne tous les logiciels ainsi que le matriel utilis. Le rglement de traitement doit tre mis jour rgulirement et mis disposition des autres organes concerns. Afin daider llaboration dun rglement de traitement, le PFPDT a publi sur son site le document Que doit contenir un rglement de traitement ? 2.

C ONSIDRATIONS

FINALES

Lapplication des mesures techniques et organisationnelles prsentes dans ce guide permet dassurer une protection des donnes approprie. Toutefois, il est ncessaire de toujours prendre en compte le contexte global dans lequel sinscrit un projet, sa sensibilit, la quantit de donnes ncessaires, etc. La responsabilit de la protection des donnes incombe au matre du fichier. En abordant ce problme le plus tt possible dans llaboration du projet, il lui sera possible de minimiser les risques. Des outils proposs par le Prpos fdral la protection des donnes et la transparence permettront bientt dvaluer les risques dun projet afin de prendre des mesures prventives dj lors de la dfinition des spcifications du projet.

www.leprepose.ch > Documentation > Protection des donnes > Brochures > Mesures techniques et organisationnelles
31/31